Читаем Как оценить риски в кибербезопасности. Лучшие инструменты и практики полностью

1. Open Web Application Security Project, “OWASP Risk Rating Methodology,” last modified September 3, 2015, www.owasp.org/index.php/OWASP_Risk_Rating_Methodology.

2. IEC, “ISO 31010: 2009–11,” Risk Management – Risk Assessment Techniques (2009).

3. D. V. Budescu, S. Broomell, and H. Por, “Improving Communication of Uncertainty in the Reports of the Intergovernmental Panel on Climate Change,” Psychological Science 20, no. 3 (2009): 299–308.

4. Richards J. Heuer, Jr., Psychology of Intelligence Analysis (Langley, VA: Center for the Study of Intelligence, Central Intelligence Agency, 1999).

5. Rebecca M. Blank and Patrick D. Gallagher, Guide for Conducting Risk Assessments, NIST Special Publication 800–30, Revision 1 (Gaithersburg, MD: National Institute of Standards and Technology, 2012), http://csrc.nist.gov/publications/nistpubs/800–30‐rev1/sp800_30_r1.pdf.

6. K. E. See, C. R. Fox, and Y. Rottenstreich, “Between Ignorance and Truth: Partition Dependence and Learning in Judgment under Uncertainty,” Journal of Experimental Psychology: Learning, Memory and Cognition 32 (2006): 1385–1402.

7. G. Moors, N. D. Kieruj, and J. K. Vermunt, “The Effect of Labeling and Numbering of Response Scales on the Likelihood of Response Bias,” Sociological Methodology 44, no. 1 (2014): 369–399.

8. J. Chan, “Response‐Order Effects in Likert‐Type Scales,” Educational and Psychological Measurement 51, no. 3 (1991): 531–540.

9. L. A. Cox Jr., “What’s Wrong with Risk Matrices?” Risk Analysis 28, no. 2 (2008): 497–512.

10. D. Hubbard and D. Evans, “Problems with Scoring Methods and Ordinal Scales in Risk Assessment,” IBM Journal of Research and Development 54, no. 3 (April 2010): 2.

11. P. Thomas, R. Bratvold, and J. E. Bickel, “The Risk of Using Risk Matrices,” Society of Petroleum Engineers Economics & Management 6, no. 2 (April 2014): 56–66.

12. Edward R. Tufte and P. Graves-Morris, The Visual Display of Quantitative Information (Cheshire, CT: Graphics Press, 1983).

13. J. Kruger and D. Dunning, “Unskilled and Unaware of It: How Difficulties in Recognizing One’s Own Incompetence Lead to Inflated Self‐Assessments,” Journal of Personality and Social Psychology 77, no. 6 (1999): 1121–1134.

14. Ahiza Garcia, “Target Settles for $39 Million over Data Breach,” CNN Money, December 2, 2015.

Вспомним аналитика в сфере кибербезопасности из главы 5, который оценивал убытки в диапазоне «от 0 до 500 млн долл.» и переживал, как начальство отреагирует на такие неинформативные данные. Если подобные экстремальные убытки действительно могли возникнуть, безусловно, было бы неправильно скрывать это от начальства. К счастью, есть альтернатива: просто разложите их по компонентам. При подобном риске проведение более тщательного анализа будет вполне оправданно.

Воздействие обычно изначально представлено в виде перечня неустановленных и неопределенных возможных исходов. Его уточнение зависит от понимания объекта измерения, как обсуждалось в главе 2. То есть надо понять, что именно измеряется через более конкретное определение объекта. Ниже будет рассмотрено, как разделить неоднозначную гору исходов хотя бы на несколько основных категорий воздействия.

В главе 3 описано создание простой количественной модели, в которой всего лишь воспроизводятся этапы построения привычной матрицы рисков, но с опорой на количественные методы. Это элементарный базовый вариант, который можно усовершенствовать с помощью разложения. В исследованиях, приведенных в главе 4, упоминалось, что разложение на составляющие особенно помогает при очень высокой степени неопределенности, а именно такая, как правило, и бывает в сфере кибербезопасности. Поэтому в данной главе мы разберем, как можно развить простую модель из главы 3, воспользовавшись преимуществами разложения на составляющие.